12 lipca 2024 roku, po około trzech latach prac legislacyjnych, AI ACT, czyli rozporządzenie o sztucznej inteligencji, zostało opublikowane w Dzienniku Urzędowym Unii Europejskiej. Już po 20 dniach, czyli w sierpniu, wejdzie w życie. Czy to znaczy, że za 20 dni wszyscy muszą przestrzegać AI ACT? Nie, rozporządzenie będzie stosowane co do zasady od 2 sierpnia 2026 roku. Aby nie było zbyt łatwo, na tej drodze pojawi się kilka wybojów, a mianowicie:
- Od 2 lutego 2025 roku stosuje się przepisy ogólne, w tym wyłączenia stosowania AI ACT (np. AI ACT nie ma zastosowania do systemów AI lub modeli AI, w tym ich wyników rozwiniętych i oddanych do użytku wyłącznie do celów badań naukowych i rozwojowych, albo jeśli chcesz sobie wygenerować słodkiego kotka i zrobić z niego tapetę na prywatnym komputerze) oraz przepisy regulujące zakazane praktyki.
- Od 2 sierpnia 2025 roku stosuje się przepisy dotyczące organów notyfikacyjnych i jednostek notyfikacyjnych (oceniających m.in. zgodność systemów AI wysokiego ryzyka z wymogami AI ACT), regulujące modele AI ogólnego przeznaczenia (to nie to samo co systemy AI), przepisy dotyczące zarządzania (np. powołania i zadań właściwych organów, jak Europejska Rada ds. Sztucznej Inteligencji), obowiązku zachowania poufności przez podmioty zaangażowane w stosowanie rozporządzenia, a także dotyczące kar (z wyjątkiem kar dla dostawców modeli AI ogólnego przeznaczenia).
- Od 2 sierpnia 2027 roku stosuje się przepisy dotyczące systemów AI wysokiego ryzyka.
- Do dnia 31 grudnia 2030 roku należy dostosować do AI ACT systemy AI będące elementami systemów informatycznych utworzonych na podstawie przepisów wymienionych w załączniku nr X do AI ACT, wprowadzonych do obrotu lub oddanych do użytku przed dniem 2 sierpnia 2027 roku, czyli np. systemy AI będące elementami Systemu Informacyjnego Schengen; nie ma to wpływu na przepisy dotyczące zakazanych praktyk.
- AI ACT stosuje się do operatorów (dostawców, importerów, dystrybutorów, podmiotów stosujących AI) systemów AI wysokiego ryzyka, wprowadzonych do obrotu lub oddanych do użytku przed dniem 2 sierpnia 2026 roku, tylko jeśli po tej dacie w systemach tych zostaną wprowadzone istotne zmiany w projekcie. No chyba, że system jest przeznaczony do wykorzystywania przez organy publiczne, wówczas niezbędne jest dostosowanie się do AI ACT do 2 sierpnia 2030 roku; nie ma to wpływu na przepisy dotyczące zakazanych praktyk.
- Do dnia 2 sierpnia 2027 roku dostawcy modeli AI ogólnego przeznaczenia, które zostały wprowadzone do obrotu przed 2 sierpnia 2025 roku, podejmują niezbędne kroki w celu spełnienia obowiązków ustanowionych w AI ACT.
Zanim jednak zaczniesz się zastanawiać, od kiedy stosujemy AI ACT, należy sobie zadać kilka innych pytań:
Co on właściwie reguluje?
Celem AI ACT jest „poprawa funkcjonowania rynku wewnętrznego i promowanie upowszechniania zorientowanej na człowieka i godnej zaufania sztucznej inteligencji (AI)” (art. 1 AI ACT). Czyli najpierw musisz ustalić, czy masz do czynienia ze sztuczną inteligencją, a może to tylko system informatyczny? Odpowiedzi na to pytanie należy poszukać co do zasady w dwóch definicjach znajdujących się w AI ACT – definicji systemu AI oraz modelu AI ogólnego przeznaczenia, które nie są tym samym, a AI ACT przewiduje dla każdej z tych kategorii inne obowiązki.
Kiedy nie ma obowiązku stosować AI ACT?
Przepisy zawierają kilka wyłączeń od obowiązku stosowania AI ACT, np. wyłączają stosowanie AI ACT do systemów AI, jeżeli – i w zakresie, w jakim – wprowadzono je do obrotu, oddano do użytku lub są one wykorzystywane ze zmianami, lub bez zmian wyłącznie do celów wojskowych, obronnych lub do celów bezpieczeństwa narodowego, niezależnie od rodzaju podmiotu prowadzącego te działania.
Jeśli myślisz, że wystarczy przenieść swoją siedzibę do słonecznej Kalifornii i stamtąd prowadzić działalność, aby ominąć AI ACT – to nie, to nie zadziała. Nawet jeśli dostawca systemu AI będzie miał swoją siedzibę w Kalifornii, to jeśli wyniki wytworzone przez system AI będą wykorzystywane w Unii – AI ACT ma zastosowanie.
Kim jestem?
W skrócie, AI ACT stosuje się do:
- dostawców wprowadzających do obrotu lub oddających do użytku systemy AI lub wprowadzających do obrotu modele AI ogólnego przeznaczenia w Unii, niezależnie od tego, czy dostawcy ci mają siedzibę lub znajdują się w Unii, czy w państwie trzecim;
- podmiotów stosujących systemy AI, które to podmioty mają siedzibę lub znajdują się w Unii;
- dostawców systemów AI i podmiotów stosujących systemy AI, którzy mają siedzibę lub znajdują się w państwie trzecim, w przypadku gdy wyniki wytworzone przez system AI są wykorzystywane w Unii;
- importerów i dystrybutorów systemów AI;
- producentów produktu, którzy pod własną nazwą lub znakiem towarowym oraz wraz ze swoim produktem wprowadzają do obrotu lub oddają do użytku system AI;
- upoważnionych przedstawicieli dostawców niemających siedziby w Unii;
- osób, na które AI ma wpływ i które znajdują się w Unii.
Twoje prawa i obowiązki będą zależeć od tego, do której kategorii się zaliczasz.
Jaka to kategoria systemu AI?
Załóżmy, że już wiesz, że masz system AI i jaką rolę pełnisz. To jeszcze nie wszystko – musisz ocenić, do jakiej kategorii ryzyka należy system AI. Rozróżniamy co do zasady następujące kategorie systemów AI ze względu na powodowane przez nie ryzyko:
Zakazane praktyki – art. 5 AI ACT
- systemy, które stosują techniki podprogowe lub celowe manipulacje wprowadzające w błąd, co w efekcie prowadzi do znaczącej zmiany zachowania osoby, na którą oddziałuje system, w taki sposób, że podejmie decyzje, jakiej normalnie by nie podjęła, co może jej wyrządzić poważną szkodę, np. systemy wykorzystywane w reklamie;
- systemy wykorzystujące ludzkie słabości, takie jak wiek, niepełnosprawność, szczególna sytuacja społeczna lub ekonomiczna osoby, na którą oddziałuje system, co w efekcie prowadzi do znaczącej zmiany zachowania tej osoby, co może jej wyrządzić poważną szkodę;
- systemy przewidujące ryzyko popełnienia przestępstwa przez osobę fizyczną na podstawie profilowania lub cech osobowości i cech charakterystycznych z pewnymi wyjątkami;
- systemy służące do wyciągania wniosków o emocjach w miejscu pracy lub instytucjach edukacyjnych, z wyjątkiem systemów wdrożonych lub wprowadzonych ze względów medycznych, lub bezpieczeństwa.
Systemy AI wysokiego ryzyka – art. 6 AI ACT
- systemy wykorzystywane w rekrutacji;
- systemy przeznaczone do podejmowania decyzji o awansie lub rozwiązaniu stosunku pracy;
- systemy przeznaczone do oceny kwalifikowalności osób fizycznych do świadczeń opieki zdrowotnej;
- systemy przeznaczone do podejmowania decyzji o dostępie do instytucji edukacyjnych.
Systemy z ryzykiem transparentności – art. 50 AI ACT
- chatboty;
- systemy generujące deepfake’i lub manipulujące treściami, lub obrazami z pewnymi ograniczeniami.
Twoje prawa i obowiązki zależą od tego, jaką rolę pełnisz wobec określonego systemu AI. Co do zasady, dostawcy systemów AI wysokiego ryzyka będą mieć najwięcej obciążeń. Ktoś jest ciekawy jakie?
Przy czym nie zawsze system AI wykorzystywany w obszarze wysokiego ryzyka, np. w rekrutacji, będzie systemem AI wysokiego ryzyka. W art. 6 AI ACT przewidziano pewne wyjątki. Sytuacja zapewne stanie się bardziej klarowna po wydaniu przez Komisję wytycznych co do interpretacji tych przepisów, co powinno nastąpić nie później niż 2 lutego 2026 roku.
Jaki to rodzaj modelu AI ogólnego przeznaczenia?
W przypadku modeli AI ogólnego przeznaczenia zostały wyodrębnione dwie kategorie:
- z ryzykiem systemowym;
- bez ryzyka systemowego.
W praktyce dostawca modelu AI ogólnego przeznaczenia z ryzykiem systemowym będzie miał więcej obowiązków niż dostawca modelu AI ogólnego przeznaczenia bez takiego ryzyka.
Co jeśli nie będę przestrzegać AI ACT?
Jest takie brzydkie słowo na literę „k”, kończy się na literę „y” i składa się łącznie z czterech liter.
Podsumowanie
W praktyce architektura sztucznej inteligencji może być złożona, a dokonanie klasyfikacji poszczególnych jej elementów oraz ról podmiotów uczestniczących w łańcuchu wartości AI – skomplikowane. Weźmy np. asystenta, który na bazie dokumentów firmowych ma udzielać odpowiedzi na pytania o procedury obowiązujące w przedsiębiorstwie. Został stworzony w oparciu o silnik w postaci GPT oraz system AI udostępniony na bezpłatnej licencji otwartego oprogramowania (w tym zakresie AI ACT zawiera pewne wyłączenia stosowania), a następnie „dokarmiony” dokumentami firmy lub połączony z jej systemami. Kim jest w tej konfiguracji OpenAI? A kim podmiot wytwarzający system AI udostępniony na bezpłatnej licencji otwartego oprogramowania? No i wreszcie kim jest firma? Tylko podmiotem stosującym czy może już dostawcą? Czy to ma znaczenie, czy oznaczy asystenta swoim logiem, czy może jednak nie?
Biorąc pod uwagę te wszystkie aspekty, warto zacząć mierzyć się z odpowiedziami na powyższe pytania.